IT-veiledning for ugradert nr 10 (U-10)

Oppdatert: 2016-03-14

Windows

Grunnsikring av Windows Server 2012 R2

Ved bruk av Security Compliance Manager (SCM) sikkerhetsbaseliner

Dette dokumentet gir uformell og uforpliktende veiledning i tiltak for sikring av IT-systemer som an-

vender Windows Server 2012 R2. Målgruppen er personell som administrerer og utvikler ugraderte

systemer i offentlig forvaltning, primært departementer og andre store sentrale etater. Dokumentet

utgjør også første byggestein i herding av graderte systemer som anvender Windows Server 2012 R2.

Nasjonal sikkerhetsmyndighet

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 2 av 17

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter lov

om forebyggende sikkerhet av 20. mars 1998. Hensikten med forebyggende sikkerhet er å motvirke trusler mot rikets selvstendighet og sik-

kerhet og andre vitale nasjonale sikkerhetsinteresser, primært spionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal

ikke være mer inngripende enn strengt nødvendig, og skal bidra til et robust og sikkert samfunn.

Hensikt med veiledning

NSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene, gjennom økt motivasjon, evne og vilje til å

gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementering av de krav sikkerhetsloven stiller. NSM publiserer

også veiledninger innen andre fagområder relatert til forebyggende sikkerhetsarbeid.

Postadresse Sivil telefon/telefaks Militær telefon/telefaks Internettadresse

Postboks 814 +47 67 86 40 00/+47 67 86 40 09 515 40 00/515 40 09 www.nsm.stat.no

1306 Sandvika E-postadresse

post@nsm.stat.no

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 3 av 17

Innhold

1 Innledning ............................................................................................................................................... 5

2 Oversikt .................................................................................................................................................. 6

3 Tiltak ...................................................................................................................................................... 8

3.1 Sikkerhetsbaseline for domener .......................................................................................................... 8

3.2 Sikkerhetsbaseliner for medlemsservere og domenekontrollere ............................................................. 9

Vedlegg A Oppsummering ........................................................................................................................ 13

Vedlegg B Implementasjon av tiltak ............................................................................................................ 14

Vedlegg C Dokumentasjon av tiltak ............................................................................................................ 14

Vedlegg D Testing av tiltak ........................................................................................................................ 14

Vedlegg E Håndtering av avvik .................................................................................................................. 14

Vedlegg F Vedlagte filer ............................................................................................................................ 15

Vedlegg G Referanser .............................................................................................................................. 16

Vedlegg H Dokumenthistorie ..................................................................................................................... 17

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 4 av 17

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 5 av 17

1 Innledning

Dette dokumentet gir uformell og uforpliktende veiledning i tiltak for sikring av IT-systemer som an-

vender Windows Server 2012 R2 (WS2012R2). Målgruppen er personell som administrerer og utvikler

ugraderte systemer i offentlig forvaltning, primært departementer og andre store sentrale etater. Do-

kumentet utgjør også første byggestein i herding av graderte systemer som anvender WS2012R2.

De beskrevne tiltakene er ment å reflektere commercial best practice og beskytter mot konvensjonell

ondsinnet kode (mass malware).

Dokumentet er i stor grad basert på veiledningen «U-05 Grunnsikring av Windows Server 2012» [1].

Fokuset i dette dokumentet har vært å videreføre anbefalte tiltak for Windows Server 2012 (WS2012),

der dette er hensiktsmessig for WS2012R2. Dokumentet fokuserer i liten grad på nye tiltak for sikring

av WS2012R2.

I tillegg til tiltakene beskrevet i dette dokumentet, anbefaler NSM at også de grunnleggende tiltakene

beskrevet i U-01 [2] blir implementert.

Dokumentet anbefaler tiltak for sikring av:

WS2012R2 domener (dvs Active Directory (AD) domene-tiltak)

WS2012R2 medlemsservere (dvs tiltak for en generisk WS2012R2 server-rolle)

WS2012R2 domenekontrollere (dvs tiltak for WS2012R2 DC serverrollen)

Dokumentet gir også en innføring i hvordan de anbefalte tiltakene kan implementeres, testes og do-

kumenteres, samt hvordan avvik fra NSMs anbefalte tiltak bør håndteres.

Kontaktpunkt for denne veiledningen er si@nsm.stat.no. Vennligst bruk veiledningens navn som

emne. Kommentarer og innspill mottas med takk.

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 6 av 17

2 Oversikt

Sikkerheten til en WS2012R2 server styres gjennom en rekke innstillinger. Vi referer til en samling sik-

kerhetsinnstillinger og deres anbefalte verdier som en sikkerhetsbaseline (SB).

Gjennom verktøyet Security Compliance Manager (SCM) [3], anbefaler Microsoft tiltak i form av SCM

SB´er for sikring av WS2012R2. SB´ene er et resultat av Microsofts egne erfaringer og commercial best

practice innenfor området.

Ved å ta utgangspunkt i Microsofts SCM SB´er kan man lage egne SB´er som er tilpasset ulike sikker-

hetsnivåer og bruksområder. Dette gjøres ved å justere de anbefalte verdiene i Microsofts SB og even-

tuelt ved å legge til eller fjerne innstillinger som inngår i SB´en. Nye SB´er som lages på denne måten

kalles da delta sikkerhetsbaseliner til Microsofts SB´er.

NSM har i denne veiledningen laget tre delta SB´er til Microsofts SCM SB´er for WS2012R2:

NSM WS2012R2 Domain Baseline er delta til WS2012R2 Domain Security Compliance 1.0 (SB

for AD-domene)

NSM WS2012R2 Member Server Baseline er delta til WS2012R2 Member Server Security

Compliance 1.0 (SB for medlemsserver)

NSM WS2012R2 Domain Controller Baseline er delta til WS2012R2 Domain Controller Security

Compliance 1.0 (SB for domenekontroller)

Delta SB´ene er også basert på NSMs SCM SB´er for WS2012 [4]:

NSM WS2012R2 Domain Baseline er identisk med NSM WS2012 Domain Baseline

NSM WS2012R2 Member Server Baseline er delta til NSM WS2012 Member Server Baseline

NSM WS2012R2 Domain Controller Baseline er delta til NSM WS2012 Domain Controller

Baseline

For sikkerhetsinnstillinger som er felles for både WS2012R2 og WS2012, har vi i stor grad brukt verdi-

ene som er satt i NSMs SB´er for WS2012.

Kapittel 3 beskriver de viktigste forskjellene mellom NSMs og Microsofts SB´er for WS2012R2, samt

innstillinger i NSMs delta SB´er som kan være problematiske i enkelte driftsmiljøer. I tillegg beskrives

de viktigste forskjellene mellom NSMs SB´ene for WS2012R2 og WS2012.

Vedlegg A oppsummerer dokumentet.

Vedlegg B beskriver hvordan NSMs delta SB´er kan implementeres både på maskiner i et AD-domene

og på frittstående maskiner. I tillegg gir vedlegget en kort innføring i installasjon og bruk av verktøyet

SCM.

Vedlegg C beskriver hvordan tiltak som er spesifisert i SCM og implementert i systemet bør dokumen-

teres.

Vedlegg D beskriver prosedyren for testing av implementerte tiltak ift spesifiserte tiltak.

Vedlegg E beskriver hvordan avvik mellom NSMs anbefalte tiltak og virksomhetens tiltak bør håndte-

res.

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 7 av 17

Vedlegg F gir en kort beskrivelse av konfigurasjonsfilene (SCM, GPO, osv) som følger med dokumentet.

Vedlegg G og Vedlegg H inneholder henholdsvis referanseliste og dokumenthistorie.

Merk at Vedlegg B – E viser til kapiteler i «U-08 Sikkerhetsbaseliner» [5].

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 8 av 17

3 Tiltak

NSMs anbefalte tiltak for WS2012R2 kommer i form av SCM SB´er som er deltaer til anbefalte

WS2012R2 SB´er fra Microsoft og WS2012 SB´er fra NSM. Hver SB består av en samling sikkerhetsinn-

stillinger og deres anbefalte verdier.

Se [6,7] for detaljert teknisk informasjon om de ulike sikkerhetsinnstillingene i SCM. SCM sin egen hjel-

petekst inneholder i stor grad også samme informasjon om disse innstillingene. Se ellers Kapittel 3.1 i

[5] for mer informasjon om SCM.

Den påfølgende teksten beskriver NSMs WS2012R2 SCM SB´er for AD-domener, medlemsservere og

domenekontrollere.

3.1 Sikkerhetsbaseline for domener

Domene-sikkerhetsbaselinen inneholder innstillinger som Account lockout policy og Password policy.

I den påfølgende teksten beskrives kun avvik mellom NSM WS2012R2 Domain Baseline og Microsofts

WS2012R2 Domain Security Compliance 1.0, siden NSM SB´ene NSM WS2012R2 Domain Baseline og

NSM WS2012 Domain Baseline er identiske.

3.1.1 Viktigste forskjeller mellom NSMs og Microsofts WS2012R2 sikkerhetsbaseliner

Denne seksjonen beskriver avvikene mellom NSMs og Microsofts SB´er for AD-domener på et overord-

net nivå:

NSMs Password policy er noe mindre restriktiv enn Microsofts SB mht passordlevetid.

NSMs Account lockout policy tar i større grad høyde for Denial of Service angrep mot bruker-

konti (provosert lockout) enn Microsofts SB.

Innstillingen Maximum password age under noden Computer Configuration > Windows Settings >

Security Settings > Account Policies > Password Policy er f eks blitt gjort mindre restriktiv ved å øke

passordlevetiden fra 60 til 180 dager.

Passordlevetiden på inntil 180 dager er bare ment for vanlige brukerkonti. For graderte systemer skal

passordlevetiden til administratorkonti være inntil 90 dager. NSM anbefaler administratorer av ugra-

derte systemer å også skifte sine passord oftere enn hver 180 dag, der dette er hensiktsmessig, f eks

hver 90-120 dag.

Merk at passordinnstillingene gjelder for alle brukere i AD-domenet, inkludert administratorer. Hvis

det er ønskelig med forskjellige passordinnstillinger for ulike brukergrupper, må dette implementeres

vha Fine-grained password policies [8,9]. Men siden finkornede passordinnstillinger ikke dekkes av

SCM, dekkes disse innstillingene heller ikke av denne veiledningen.

Den vedlagte Excel-filen NSM WS2012R2 Domain Baseline vs Microsoft Baseline XLSM.xlsm gir en de-

taljert oversikt over forskjellene mellom NSMs og Microsofts SB´er for AD-domener. Se Vedlegg F for

mer informasjon.

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 9 av 17

3.2 Sikkerhetsbaseliner for medlemsservere og domenekontrollere

SB´en for medlemsservere inneholder OS- og bruker-nivå innstillinger for en generisk WS2012R2 ser-

verrolle. Denne generiske serverrollen danner en felles basis for mer spesifikke WS2012R2 serverroller,

f eks filserver, epost-server, databaseserver, osv.

SB´en for domenekontrollere inneholder de fleste av innstillingene som man finner i den generiske

medlemsserver-sikkerhetsbaselinen, men noen av disse innstillingene har justerte verdier som er til-

passet DC rollen. I tillegg inneholder SB´en for domenekontroller en rekke andre innstillinger som er

spesifikke for en WS2012R2 server som innehar DC rollen, bl a innstillinger for systemtjenester (system

services).

3.2.1 Viktigste forskjeller mellom NSMs og Microsofts WS2012R2 sikkerhetsbaseliner

Denne seksjonen gir en overordnet beskrivelse av de viktigste avvikene mellom:

NSM WS2012R2 Member Server Baseline og Microsofts WS2012R2 Member Server Security

Compliance 1.0

NSM WS2012R2 Domain Controller Baseline og Microsofts WS2012R2 Domain Controller

Security Compliance 1.0

Vi velger å beskrive avvik for både medlemsservere og domenekontrollere i samme seksjon på grunn

av de store likhetene i avvikene, sett på et overordnet nivå.

Medlemsservere. For en detaljert liste over alle avvik mellom NSMs og Microsofts SB´er for medlems-

servere henvises det til Excel-filen NSM WS2012R2 Member Server Baseline vs Microsoft Baseline

XLSM.xlsm. Se Vedlegg F for mer informasjon.

Domenekontrollere. For en detaljert liste over alle avvik mellom NSMs og Microsofts SB´er for dome-

nekontrollere henvises det til Excel-filen NSM WS2012R2 Domain Controller Baseline vs Microsoft

Baseline XLSM.xlsm. Se Vedlegg F for mer informasjon.

3.2.1.1 Eksplisitte verdier for innstillinger som ikke dekkes i Microsoft sine baseliner

I Microsofts SB´er for medlemsservere og domenekontroller er mange innstillinger satt til Not defined

og Not configured, på grunn av at Microsoft ikke anbefaler noen spesielle verdier for de aktuelle inn-

stillingene.

Når en SB ikke definerer en innstilling, gjøres det heller ingen endring i operativsystemet.

For å sikre at også disse udefinerte innstillingene blir satt til fornuftige verdier, f eks dersom feilkonfi-

gurert etter installasjon, og for at innstilligene skal kunne sikkerhetstestes opp mot SB´en, tildeles disse

innstillingene eksplisitte verdier i NSMs SB´er. Unntaksvis velger også NSM å la innstillingene forbli

udefinerte. Dette gjelder først og fremst for nye innstillinger i WS2012R2, dvs innstillinger som ikke

finnes i SB´ene for WS2012. Se Kapittel 3.2.3 for mer informasjon.

3.2.1.2 Slå av Auto Run og Auto Play

NSMs SB´er for medlemsserver og domenekontroller slår av Auto Run og Auto Play. NSMs SB´er har

strengere restriksjoner for Auto Run og Auto Play enn det de tilsvarende Microsoft SB´ene har.

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 10 av 17

3.2.1.3 Strengere protokollsikkerhet

NSMs SB´er for medlemsserver og domenekontroller har noe strengere krav til protokollsikkerhet enn

det de tilsvarende Microsoft SB´ene har. Dette gjelder spesielt for følgende protokoller:

NT Lan Manager (NTLM) protokollen

Kerberos protokollen

Lightweight Directory Access Protocol (LDAP)

Server Message Block (SMB) protokollen

Remote Desktop Protocol (RDP)

3.2.1.4 Aktivere ekstra logging av hendelser

NSMs SB´er for medlemsserver og domenekontroller legger opp til mer logging enn det gjøres i de

tilsvarende Microsoft SB´ene.

For de fleste Audit Policyene i noden Computer Configuration > Windows Settings > Security Settings

> Advanced Audit Policy Configuration > Audit Policies velger Microsoft Not defined mens NSM velger

logging av en eller flere typer hendelser.

3.2.1.5 Aktivere global brannmurpolicy og -logging

NSMs SB´er for medlemsserver og domenekontroller setter en rekke brannmurspesifikke innstillinger

som ikke finnes i de tilsvarende Microsoft SB´ene. Se XTRA-seksjonen i NSM SB´ene NSM WS2012R2

Member Server Baseline SCM.cab og NSM WS2012R2 Domain Controller Baseline SCM.cab for disse

og andre innstillinger som NSM har lagt til Microsoft sine SB´er.

Blant annet settes følgende for de tre brannmurprofilene Domain, Private og Public:

Logging av dropped packets

Logging av successful connections

Størrelse på logg-fil

Lokasjon for lagring av logg-fil

3.2.1.6 Slå av Windows Remote Shell

I noden Computer Configuration > Administrative Templates > Windows Components > Windows

Remote Shell har innstillingen Allow Remote Shell Accesss blitt satt til Disabled i NSMs SB´ene for

medlemsserver og domenekontroller. Denne innstillingen er udefinert i de tilsvarende Microsoft

SB´ene.

Microsoft anbefaler i den tekniske informasjonen for innstillingen i SCM-verktøyet at Windows Remote

Shell bør kun benyttes i svært tiltrodde og godt beskyttede nettverk, f eks nettverk som er beskyttet

vha IPsec.

3.2.2 Innstillinger som kan være problematiske i enkelte driftsmiljøer

Denne seksjonen beskriver innstillinger i NSMs WS2012R2 SB´er som gjelder både medlemsservere og

domenekontrollere som kan være problematiske i enkelte driftsmiljøer.

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 11 av 17

3.2.2.1 Log on as a service / Deny log on as a service

Følgende innstillinger har blitt konfigurert i noden Computer Configuration > Windows Settings >

Security Settings > Local Policies > User Rights Assignment:

Log on as a service har blitt satt til NT SERVICE\ALL SERVICES

Deny log on as a service har blitt satt til Administrators, Users, Guests

Virksomheter som anvender brukerkontoer med passord som tjenestekonti istedenfor Windows sine

innebygde tjenestekonti (SYSTEM, LocalService, NetworkService) for å kjøre tjenester, vil få problemer

med disse innstillingene.

NSM fraråder bruk av andre tjenestekonti enn Windows sine innebygde tjenestekonti.

3.2.2.2 Log on as a batch job / Deny log on as a batch job

Følgende innstillinger har blitt konfigurert i noden Computer Configuration > Windows Settings >

Security Settings > Local Policies > User Rights Assignment:

Log on as a batch job har blitt satt til Administrators

Deny log on as a batch job har blitt satt til Guests, Administrator

NSM tillater i utgangspunktet at kun Administrators schedulerer jobber. For noen virksomheter vil det

være behov for at også andre brukere skal kunne schedulere jobber, uten at dette nødvendigvis er

sikkerhetsmessig problematisk.

3.2.2.3 Interactive logon: Number of previous logons to cache

I noden Computer Configuration > Windows Settings > Security Settings > Local Policies > Security

Options har innstillingen Interactive logon: Number of previous logons to cache (in case domain

controller is not available) blitt satt til 2 for medlemsservere, mens den har blitt satt til Not Configured

for domenekontrollere, siden innstillingen ikke er spesielt relevant i det tilfellet.

NSM tillater caching av et relativt lite antall interaktive innlogginger som et tiltak mot cracking av pass-

ord.

3.2.3 Viktigste forskjeller mellom NSMs WS2012R2 og WS2012 sikkerhetsbaseliner

Denne seksjonen gir en overordnet beskrivelse av de viktigste avvikene mellom:

NSM WS2012R2 Member Server Baseline og NSM WS2012 Member Server Baseline

NSM WS2012R2 Domain Controller Baseline og NSM WS2012 Domain Controller Baseline

Vi velger å beskrive de viktigste avvikene for både medlemsservere og domenekontrollere i samme

seksjon på grunn av likheter i avvikene, sett på et overordnet nivå. Noen av avvikene gjelder kun for

domenekontrollere, men da spesifiseres dette i teksten.

Medlemsservere. For en detaljert liste over alle avvik mellom NSMs medlemsserver-SB´er for

WS2012R2 og WS2012 henvises det til Excel-filen NSM WS2012R2 vs NSM WS2012 Member Server

Baseline XLSM.xlsm. Se Vedlegg F for mer informasjon.

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 12 av 17

Domenekontrollere. For en detaljert liste over alle avvik mellom NSMs domenekontroller-SB´er for

WS2012R2 og WS2012 henvises det til Excel-filen NSM WS2012R2 vs NSM WS2012 Domain Controller

Baseline XLSM.xlsm. Se Vedlegg F for mer informasjon.

3.2.3.1 Nye sikkerhetsinnstillinger

Microsoft introduserer en rekke nye sikkerhetsinnstillinger i SB´ene for WS2012R2, både på OS- og

bruker-nivå. Dette omfatter bl a sikkerhetsinnstillinger for Windows Defender, Enhanced Mitigation

Experience Toolkit (EMET), AppLocker og Windows Store.

I arbeidet med NSMs SB´er for WS2012R2 har fokuset vært å videreføre tiltakene fra NSMs WS2012

SB´er, der dette er hensiktsmessig. For de fleste nye sikkerhetsinnstillingene har NSM valgt å følge

Microsofts anbefalinger, også i de tilfeller hvor Microsoft ikke har noen konkret anbefaling, dvs at de

lar innstillingene være udefinerte. Disse nye sikkerhetsinnstillingene vil vurderes på nytt i arbeidet

med veiledninger for Windows 10 og Windows Server 2016.

3.2.3.2 Blokkere bruken av nettlesere på domenekontrollere

NSMs SB for WS2012R2 domenekontrollere blokkerer bruken av nettlesere. Det samme gjør Micro-

soft i sin SB. Disse sikkerhetsinnstillingene finnes ikke i NSMs SB for WS2012 domenekontrollere.

3.2.3.3 Konfigurasjon av systemtjenester på domenekontrollere

NSMs SB for WS2012 domenekontrollere konfigurer en rekke systemtjenester (system services),

mens NSMs SB for WS2012R2 domenekontrollere konfigurerer kun én systemtjeneste. Med konfigu-

rasjon menes her å sette oppstartsmåten til systemtjenesten.

For begge SB´ene har NSM fulgt anbefalingene i de tilsvarende Microsoft SB´ene. Fra WS2012 til

WS2012R2 har Microsoft endret sine anbefalinger når det kommer til konfigurasjon av systemtjenes-

ter, bl a for å redusere angrepsflaten til domenekontrollere.

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 13 av 17

Vedlegg A Oppsummering

Sikkerheten til en WS2012R2 server styres gjennom en rekke innstillinger. Vi referer til en samling sik-

kerhetsinnstillinger og deres anbefalte verdier som en sikkerhetsbaseline (SB).

Ved å ta utgangspunkt i Microsofts WS2012R2 SB´er for AD-domener, medlemsservere og domene-

kontrollere har NSM laget deltaer til disse SB´ene, dvs SB´er hvor noen av Microsofts anbefalte verdier

har blitt justert og hvor nye sikkerhetsinnstillinger har blitt lagt til.

Delta SB´ene er også i stor grad basert på NSMs WS2012 SB´er, fordi fokuset i dette dokumentet har

vært å videreføre tiltak for WS2012. Dokumentet fokuserer i liten grad på nye tiltak for sikring av

WS2012R2.

Delta SB´ene har blitt laget for å sikre ugraderte WS2012R2 systemer i offentlig forvaltning, og da pri-

mært i departementer og andre store sentrale etater.

Delta SB´ene utgjør også første byggestein i herding av graderte systemer som anvender WS2012R2.

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 14 av 17

Vedlegg B Implementasjon av tiltak

Se Kapittel 3 i [5].

Vedlegg C Dokumentasjon av tiltak

Se Kapittel 4 i [5].

Vedlegg D Testing av tiltak

Se Kapittel 5 i [5].

Vedlegg E Håndtering av avvik

Se Kapittel 6 i [5].

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 15 av 17

Vedlegg F Vedlagte filer

Arkivfilen NSM WS2012R2 SCM Baselines.zip [10] følger med dokumentet. Denne filen inneholder føl-

gende arkivfiler:

NSM WS2012R2 SCM Domain Baseline.zip

NSM WS2012R2 SCM Member Server Baseline.zip

NSM WS2012R2 SCM Domain Controller Baseline.zip

Hver av de tre arkivfilene inneholder følgende filer:

NSM WS2012R2 [ Domain | Member Server | Domain Controller ] Baseline SCM.cab

NSM WS2012R2 [ Domain | Member Server | Domain Controller ] Baseline GPO REPORT.htm

NSM WS2012R2 [ Domain | Member Server | Domain Controller ] Baseline GPO REPORT.xml

NSM WS2012R2 [ Domain | Member Server | Domain Controller ] Baseline GPO.zip

NSM WS2012R2 [ Domain | Member Server | Domain Controller ] Baseline XLSM.xlsm

NSM WS2012R2 [ Domain | Member Server | Domain Controller ] Baseline vs Microsoft Baseline XLSM.xlsm

NSM WS2012R2 vs NSM WS2012 [ Domain | Member Server | Domain Controller ] Baseline XLSM.xlsm

o Excel-fil som dokumenter forskjeller og likheter mellom NSMs SB’er for WS2012R2 og WS2012.

Se Kapittel 4.3 i [5] for en beskrivelse av de øvrige filene.

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 16 av 17

Vedlegg G Referanser

[1] ............... NSM. U-05 Grunnsikring av Windows Server 2012, 2015. https://nsm.stat.no/pub-likasjoner/regelverk/veiledninger/veiledning-for-systemteknisk-sikkerhet/

[2] ............... NSM. U-01 Grunnleggende tiltak for sikring av Windows 7, 2012. https://nsm.stat.no/publikasjoner/regelverk/veiledninger/veiledning-for-sys-temteknisk-sikkerhet/

[3] ............... Microsoft. Security Compliance Manager (SCM). http://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx

[4] ............... NSM. NSM WS2012 SCM Baselines, 2015. https://nsm.stat.no/publikasjoner/re-gelverk/veiledninger/veiledning-for-systemteknisk-sikkerhet/

[5] ............... NSM. U-08 Sikkerhetsbaseliner, 2015. https://nsm.stat.no/publikasjoner/regel-verk/veiledninger/veiledning-for-systemteknisk-sikkerhet/

[6] ............... Microsoft. Windows Server 2012 R2 Security Guide, Version 1.0, 2014. Dokumentet er tilgjengelig fra SCM verktøyet under Microsoft Baselines > Windows Server 2012 R2 > Attachments \ Guides > Windows Server 2012 R2 Security Guide.docx

[7] ............... Microsoft. Threats and Countermeasures Guide: Security Settings in Windows 7 and Windows Server 2008 R2, 2011. http://www.microsoft.com/en-us/download/de-tails.aspx?id=26137

[8] ............... Microsoft. AD DS: Fine-Grained Password Policies, 2012. http://technet.mi-crosoft.com/en-us/library/cc770394(v=ws.10).aspx

[9] ............... Microsoft. AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide, 2012. http://technet.microsoft.com/en-us/library/cc770842.aspx

[10] ............. NSM. NSM WS2012R2 SCM Baselines, 2016. https://nsm.stat.no/publikasjoner/re-gelverk/veiledninger/veiledning-for-systemteknisk-sikkerhet/

NSM U-10 2016-03-14

Grunnsikring av Windows Server 2012 R2 Side 17 av 17

Vedlegg H Dokumenthistorie

2016-02-04 Dokumentet ble opprettet. Dokumentet er i stor grad basert på «U-05 Grunnsikring av

Windows Server 2012».

2016-03-01 Første versjon ferdig.

2016-03-02 Sendt ut på høring i NSM.

2016-03-14 Publisering på nett.